スマートフォンアプリでは暗号化通信を標準にすべき
2012年2月6日(月曜日)
スマートフォンアプリでは暗号化通信を標準にすべき
公開: 2012年2月18日22時25分頃
「スマートフォンアプリケーションでSSLを使わないのは脆弱性か (blog.tokumaru.org)」。
勝手にまとめると、まず前半がこういう話ですね。
- アプリケーションの利用者にも通信内容を見せない、という目的で暗号化するのは問題がある。「隠すこと」による脆弱性対策は危険。
- 独自の暗号化を使用すると、「プライバシー情報の不正送信が行われているのではないか」と疑われることにもつながる。通信の暗号化なら標準的なSSL/TLSを使えば良い。
そして、後半は少し違う話になっています。
- スマートフォンでは素性の良く分からないWi-Fiで通信する機会も多いため、傍受・改竄対策としての暗号化は重要。
- しかしブラウザと違い、スマートフォンのアプリでは、通信が暗号化されているかどうか利用者には分からない。暗号化通信の有無が利用者にはっきり分かるような状況にすることが望ましい。
そこで提言となるわけですが、その背景としては以下のような考えがあるかと思います。
- スマートフォンアプリは、通信路をSSL/TLSで暗号化することを標準としたい。これにより、利用者は「通信は暗号化されている」と期待して (安心して) 利用することができるようになる。
- 逆に、事情があって通信を暗号化できないアプリケーションは、その旨を告知した上で配布するようにする。
- この状況では、平文通信の告知がないアプリの場合、利用者は「暗号化されている」と期待して利用する。告知せずに平文通信している場合、利用者の意図に反して安全性の低いものになっているため、アプリケーションの脆弱性であるとみなす。
……と、私はこういうふうに理解しました。
タイトルは「スマートフォンアプリケーションでSSLを使わないのは脆弱性か」とされていますが、現状で脆弱性とみなせるかどうかを議論されているわけではなく、将来あるべき姿の話ですね。
現状の話をするなら、「良く分からないけど端末IDを送っておくか」というようなアプリケーションが多数ある状況で、利用者のことを考えて暗号化の議論ができるようなレベルには達していないように感じます。
とはいえ、成長の早い世界でもありますし、このような議論が現実味を持つのは遠い先の話でもないでしょう。配慮のないアプリや制作会社が自然に淘汰されていく状況もあり得ると思います。
- 「スマートフォンアプリでは暗号化通信を標準にすべき」にコメントを書く
- 前(古い): Facebookのアカウントを停止させる方法
- 次(新しい): タッチパネルが使えない人がいる
